Bezprzewodowe bezpieczeństwo

Sieci zapewniają hultajom zadziwiająco wiele kryjówek. Tymczasem do podjęcia odpowiednich środków ostrożności nie trzeba ani drogiego sprzętu, ani fachowej wiedzy. Wystarczy kilka prostych czynności, a osoby niepowołane nie dostaną się do twoich poufnych danych.

Hakerów i szpiegów nie brakuje. Kto nie zapewni należytej ochrony swojej sieci bezprzewodowej, ryzykuje, że straci cenne informacje służbowe lub prywatne. Dużych problemów może również narobić komputer przechwycony przez trojany i używany jako spambot (do rozsyłania niepożądanej poczty). Mimo to wielu użytkownikom nie chce się zadbać o bezpieczeństwo swojej sieci. A przecież można pójść na kompromis między wygodą a bezpieczeństwem. Trzeba tylko pozamykać wejścia do swojej sieci. Jak tego dokonać, dowiesz się z lektury poniższego tekstu.

Konfigurowanie routera

R outer otwiera drzwi do Internetu. Korzystają z tego wszystkie komputery do niego podłączone. Oprócz tego router WLAN pełni funkcję centralnego podzespołu, z którym komunikują się wszystkie pecety w sieci. Stanowi zatem główną bramę, w którą uderzają hakerzy, szpiedzy i inni agresorzy. Dlatego za-bezpieczanie całej sieci należy rozpocząć od właściwej konfiguracji routera.

Pierwsze kroki - czynności natychmiastowe

Większość routerów oferuje obsługę lokalnych sieci bezprzewodowych (WLAN). Nawet jeśli byłeś ostrożny i na czas pierwszego skonfigurowania routera połączyłeś go z pecetami za pomocą kabli, wysyła sygnały w eter, dając potencjalnym szpiegom dostęp do twojej sieci. Jest to możliwe, bo wielu producentów nie włącza fabrycznie żadnych zabezpieczeń. Dlatego najpierw aktywuj tylko szyfrowanie transmisji WLAN (porada "Ściany mają uszy") i ustaw dostęp do konfiguracji routera (porada "Hasło - blokada dostępu"). Dopiero potem zrestartuj router i wykonaj pozostałe czynności konfiguracyjne przez szyfrowane połączenie.

Jeszcze większe bezpieczeństwo uzyskasz, jeśli za pierwszym razem odłączysz od sieci LAN komputer, z którego poziomu chcesz skonfigurować router, i uruchomisz go ze startowej płyty CD (np. systemu Knoppix). W ten sposób przechytrzysz szpiegów nadsłuchujących w trakcie tych kilku minut - nie będą mogli uzyskać informacji o infrastrukturze twojej sieci.

Hasło - blokada dostępu

Router konfiguruje się przez przeglądarkę internetową, np. Internet Explorer. Menu ustawień przywołasz, wpisując predefiniowany adres IP routera. Powinien być podany w instrukcji obsługi.

Najpierw zabezpiecz dostęp do menu konfiguracyjnego - czyli zdefiniuj indywidualne hasło (patrz pomoc w menu lub instrukcja dołączona do routera). Większość producentów chce maksymalnie ułatwić użytkownikowi pierwszy kontakt z routerem, więc zapewnia mu domyślny, niezabezpieczony dostęp. Dane dostępowe są już wpisane w oknie lub powszechnie znane (np. login: admin, hasło: password).

F iltr adresów MAC

W konfiguracji domyślnej router łączy się ze wszystkimi składnikami sieci. Jeśli w twojej połączone są ze sobą zawsze te same urządzenia, możesz ograniczyć zakres działania routera tylko do nich. Skorzystaj w tym celu z ich adresów MAC (Media Access Control). Ustalisz je np. w środowisku Windows za pomocą polecenia ipconfig /all.

Tą metodą odstraszysz jednak tylko niedoświadczonych hakerów. Można bardzo łatwo sfałszować adres MAC (MAC spoofing) i w ten sposób uzyskać dostęp do cudzej sieci. Dlatego nie musisz ograniczać dostępu filtrowaniem MAC, za to skorzystaj z innych zabezpieczeń opisanych w następnym rozdziale (przede wszystkim w sieciach bezprzewodowych).

Wybierz szyfrowanie WPA lub (lepiej) WPA2, aby zabezpieczyć swoje dane przesyłane w obrębie sieci bezprzewodowej.

Blokada zapytań Ping

Ping to program, który wysyła do wybranego hosta żądania odpowiedzi. Jeśli komputer docelowy reaguje na polecenie ping, odpowiada, wysyłając pakiety danych. W ten sposób możesz sprawdzać komunikację między pecetami podłączonymi do sieci.

Wiele routerów oferuje możliwość blokowania zapytań ping (ICMP), aby ukryć na zewnątrz dostępność danego komputera w sieci. Jednakże nabiorą się na to tyl-ko początkujący hakerzy. Gdyby router był niewidoczny w Internecie, nie docierałyby do niego witryny WWW otwierane przez użytkownika. Oprócz tego jest wiele innych sposobów wykrywania dowolnego peceta w Sieci. Z tych względów nie zaleca się blokować zapytań ping, bo pozbawisz się narzędzia diagnostycznego, które może się przydać do ustalania przyczyn awarii.

Zabezpieczanie sieci WLAN

Zakładając sieć bezprzewodową, trzeba podjąć dodatkowe środki ostrożności, ponieważ fale radiowe wychodzą poza ściany twojego mieszkania.

SSID - nowa nazwa sieci WLAN

Gdy dowolne urządzenie sieciowe poznaje nazwę danej sieci WLAN, czyli jej identyfikator SSID (Service Set Identifier), może nawiązać kontakt z routerem i uzyskać dostęp do całej sieci. Wielu routerom jest przypisana domyślnie nazwa Default lub nazwa producenta (np. linksys). Warto zmienić SSID swojej sieci - chociażby po to, aby uniknąć konfliktu z sieciami bezprzewodowymi sąsiadów. Nie stosuj jednak ciągów znaków, który pozwoliłby potencjalnym agresorom domyślić się, do czego służy twoja sieć.

Wybierz szyfrowanie WPA lub (lepiej) WPA2, aby zabezpieczyć swoje dane przesyłane w obrębie sieci bezprzewodowej.

Małomówne sieci

Routery WLAN przeważnie non stop puszczają w eter swój identyfikator SSID, aby wszystkie urządzenia mogły szybko podłączyć się do sieci. Większość routerów może nie rozpowszechniać SSID, aby ukryć obecność sieci bezprzewodowej. Poszukaj w menu routera funkcji o nazwie SSID-Broadcast lub podobnej i wyłącz ją. W niektórych modelach nosi ona nazwę Protected/Hidden SSID. W tym wypadku należy ją włączyć. Jeśli wyłączysz rozgłaszanie identyfikatora SSID, urządzenia WLAN nie znajdą twojego routera na liście dostępnych sieci. Gdy zechcesz podłączyć do sieci kolejny komputer lub inny składnik, musisz wpisać stosowny SSID w jego menu konfiguracyjnym.

Jednak takie zabezpieczenie uchroni cię jedynie przed przypadkowym wykryciem twojej sieci przez sąsiadów. Hakerzy łamiący WLAN stosują narzędzia, które potrafią ustalić SSID na podstawie przechwytywanego strumienia danych.

Ściany mają uszy

Kolejną przeszkodę dla agresorów stanowi szyfrowanie. Zabezpiecza transmisję danych w sieciach bezprzewodowych, bo tylko ten, kto zna hasło, może zalogować się w sieci i przesyłać informacje. Dlatego należy włączyć najbardziej skuteczny poziom szyfrowania, obsługiwany przez wszystkie urządzenia podłączone do sieci WLAN. Za najbezpieczniejsze uchodzą obecnie WPA2 (AES) i WPA. Unikaj przestarzałego standardu WEP. Można go złamać niewielkim wysiłkiem.

Klucz dostępu zdefiniuj w menu konfiguracyjnym routera - z reguły stosowna opcja figuruje w menu Security. Nawiązując połączenie z routerem, każdy element sieci WLAN będzie od tej pory przerywać dalsze czynności, dopóki nie zostanie wprowadzone właściwe hasło.

Universal Plug'n'Play samodzielnie otwiera wymagane porty. Ze względów bezpieczeństwa powinieneś wyłączyć tę funkcję.

Starsze urządzenia WLAN mogą nie obsługiwać standardu WPA2. W zaistniałej sytuacji zajrzyj do witryny producenta. Być może, udostępnił pliki aktualizujące firm-ware (czyli oprogramowanie układowe) tego urządzenia, które po ich wgraniu będzie akceptowało transmisję szyfrowaną WPA2.

Łata do Windows XP

Chcąc stosować standard WPA lub WPA2, użytkownicy środowiska Windows XP muszą zainstalować dodatek Service Pack 2 (www.mi-crosoft.com/poland/windowsxp/sp2/default.mspx). Decydując się na najbardziej bezpieczny WPA2, trzeba wgrać dodatkową łatę. Znajdziesz ją w Bazie Wiedzy Microsoftu - art. nr KB893357 - i w Centrum pobierania pod adresem www.microsoft.com/downloads/details.aspx?displaylang=pl&FamilyID=662BB74D-E7C1-48D6-95EE-1459234F4483 . W artykule KB917021 znajdziesz aktualizację, która jeszcze lepiej chroni sieci WLAN przez intruzami. Zauważ, że Windows Vista obsługuje wymienione standardy szyfrowania bez żadnych łat.

Sterowanie przepływem danych

Do podstawowych zadań sieci należy m.in. udostępnianie poszczególnym uczestnikom łącza internetowego za pośrednictwem routera. W jego menu konfiguracyjnym powinieneś zabezpieczyć sieć na tyle, na ile jest to konieczne w praktyce.

Kontrola dostępu - konfigurowanie zapory

Każdy router jest wyposażony w wewnętrzną zaporę sieciową. Jeśli twój model oferuje stosowną opcję w menu konfiguracyjnym, powinieneś z niej skorzystać.

Zapora sieciowa kontroluje przepływ danych pomiędzy siecią prywatną i Internetem na podstawie określonych reguł. Podstawowa zasada: wszystkie informacje mogą opuścić sieć lokalną, jednak dostają się do niej tylko te, które zamówił jeden z komputerów podłączonych do sieci. Więcej informacji na temat zapór sieciowych zamieszczamy w artykule "Za pory i za drzwi!".

Przekierowanie portów

Router dostarcza komputerom w sieci LAN danych z Internetu poprzez translację NAT (Network Address Translation). Ogólnie rzecz biorąc, działa to na następujących zasadach. Pecet w sieci lokalnej wysyła pakiet danych do Internetu za pośrednictwem routera i podaje swój prywatny adres IP. Router przepakowuje otrzymane informacje, a jako nadawcę wstawia swój publiczny adres IP. Serwer, który otrzymał taki pakiet, odsyła informacje zwrotne na adres routera. Ten zaś usuwa z przesyłki swoją otoczkę i dopiero teraz ujawnia prywatny adres IP komputera będącego faktycznym odbiorcą pakietu. Zapora niweczy wszystkie inne próby przesłania danych z Internetu do maszyn w sieci lokalnej.

Z ukrycia - znakiem dolara na końcu nazwy ukryjesz udostępniony folder w oknie Moje miejsca sieciowe.

Jeśli jednak w obrębie sieci lo-kalnej działa serwer witryn WWW, opisane powyżej działanie jest niepożądane. Przecież ma on odbierać zapytania z Internetu i odpowia-dać na nie. W tym wypadku musisz "wykuć dziurę" w zaporze, nakazując routerowi przekazywać pakiety danych trafiające do określonego portu (np. portu 80, jeśli stosujesz serwer stron WWW) do wybranego peceta w sieci lokalnej. Jednak poluzuj zabezpieczenia tylko na tyle, na ile jest to konieczne.

Znajdź w menu routera funkcję o nazwie Port-Forwarding, Virtual Server lub Static Routing, a następnie włącz ją. Przeważnie router prosi o zdefiniowanie komputera docelowego przez podanie jego adresu IP. Aby ustalić, które porty trzeba otworzyć dla danej aplikacji, zajrzyj do jej instrukcji bądź na internetową stronę producenta. Jeśli zabraknie tam stosownej informacji, spróbuj szczęścia pod adresem www.iana.org/assignments/port-numbers lub www.portforward.com/cports.htm .

Niebezpieczna wygoda - Universal Plug'n'Play

Przekierowywanie portów (port forwarding) działa nadzwyczaj wygodnie w połączeniu z Universal Plug'n'Play (UPnP). Niemniej jednak w trosce o bezpieczeństwo powinieneś wyłączyć UPnP w ustawieniach routera. Mechanizm ten samodzielnie otwiera odpowiednie porty dla nadchodzących pakietów danych - pod warunkiem, że jest obsługiwany przez router i oprogramowanie. Ceną tej wygody jest utrata kontroli nad portami. Programy szpiegujące mają wówczas ułatwione zadanie i mogą w tle zmanipulować router i przedrzeć się przez zaporę sieciową.

Alternatywa dla zaawansowanych - uruchamianie portów

Trudniejszy do skonfigurowania, lecz bezpieczniejszy jest mechanizm tymczasowego otwierania portów (tzw. port triggering) - router uruchamia żądany port tylko w razie potrzeby i na pewien czas. Stosownej funkcji należy szukać w sekcji Advanced lub Port Triggering.

Najpierw komputer w sieci lokalnej musi wysłać na zewnątrz dane przez port otwierający (trigger port). W ten sposób poinformuje router, żeby przekierowywał do niego pakiety danych nadchodzące do innego, ściśle określonego portu. Gdy ustanie ruch pakietów wychodzących przez port otwierający, router odczeka ustalony czas, po czym zamknie port docelowy. Konfigurując tymczasowe otwieranie portów, nie musisz więc definiować żadnego adresu IP jako docelowego, jak w wypadku przekierowania portów (patrz wyżej). Trzeba natomiast utworzyć nową regułę w menu Port Triggering. Niektóre routery udostępniają predefiniowane reguły dla określonych programów, które można wybierać z listy. Teraz podaj port otwierania, czyli ten, przez który aplikacja przesyła pakiety danych do Internetu. Na koniec wybierz porty, z których dane rou-ter ma przekazywać do żądanego peceta w sieci lokalnej (w większości modeli opcja ta nosi nazwę Input Port).

Zakazane wędrówki - ograniczenia czasowe

Być może, nie jesteś jedynym użytkownikiem swojego komputera. Jeśli z Internetu chcą korzystać twoje nieletnie pociechy, warto ograniczyć czas surfowania i zakres odwiedzanych witryn. Odpowiednie funkcje znajdziesz w większości routerów. Szukaj ich w menu zabezpieczeń lub kontroli dostępu. Najpierw trzeba z reguły wybrać nazwę (np. Jasio) i adres IP komputera, który mają obejmować restrykcje. Liczne modele routerów oferują możliwość limitowania czasu surfowania w Internecie - poszukaj w nich opcji interwałów czasowych. Za jej pomocą określisz, kiedy i jak długo określone komputery sieci lokalnej mogą łączyć się z Internetem. Nadaj utworzonemu harmonogramowi dowolną nazwę, np. Dzieci, i przydziel mu żądany komputer (w naszym przykładzie: Jasio). Potem powróć do menu kontroli dostępu dla komputera Jasio i poszukaj opcji tworzenia reguł związanych z terminami. Wpisz tu nazwę założonego uprzednio harmonogramu (Dzieci). Na zakończenie musisz przydzielić limit czasowy żądanej aplikacji, np. przeglądarce internetowej bądź programowi pocztowemu.

Pod adresem http://www.openvpn.se znajdziesz OpenVPN GUI - bezpłatny program do nawiązywania bezpłatnych połączeń przez Internet.

Bez niewłaściwych treści - ograniczanie witryn

Chciałbyś zakazać swoim dzieciom wchodzenia na nieodpowiednie strony internetowe. Poszukaj w ustawieniach routera funkcji blokowania adresów URL - zazwyczaj znajduje się w rubryce kontroli dostępu. Zakładając, że chcesz zablokować fikcyjną witrynę o nazwie Hejka, odpowiedni wpis to www.hejka.pl. Większość routerów pozwala nie tylko blokować pojedyncze witryny, lecz wszystkie zawierające wyspecyfikowane słowa kluczowe. Wystarczy podać je w odpowiednim polu menu konfiguracyjnego. Na zakończenie musisz przyporządkować blokadę żądanemu pecetowi (np. Jasio). Przejdź w tym celu do kontroli dostępu klienta Jasio, a następnie zaznacz zdefiniowaną uprzednio blokadę.

Szlaban na Internet - blokowanie usług

Być może, chcesz, aby pewni użytkownicy sieci nie mieli w ogóle dostępu do Internetu, lecz mogli wysyłać i odbierać e-maile. W tym wypadku musisz zablokować w menu routera określone usługi lub protokoły. Jeśli zamierzasz uniemożliwić komuś na przykład przeglądanie stron WWW, zablokuj wpis http.

Zabezpieczanie pecetów i plików

Router wraz z wbudowaną zaporą sieciową zapewniają podłączonym do nich komputerom dość solidną ochronę podstawową. Jednak nie zwalnia to użytkownika z obowiązku zabezpieczenia każdego komputera z osobna. Całościowa koncepcja bezpieczeństwa przewiduje eliminowanie wszelkiego ryzyka - również w pojedynczych pecetach sieciowych.

Zabezpieczenia programowe

W każdym komputerze podpiętym do sieci lokalnej powinien być zainstalowany program antywirusowy. Nie wolno polegać wyłącznie na wewnętrznej zaporze routera. Wprawdzie odfiltruje wiele niepożądanych pakietów z Internetu, lecz nie zapobiegnie zainfekowaniu maszyny wirusami i innymi szkodnikami - mogą się dostać do peceta chociażby poprzez aplikacje do pobierania plików z Internetu, a także z pendrive'a. Będąc użytkownikiem prywatnym, możesz skorzystać z bezpłatnych rozwiązań - np. programu Avira AntiVir PE Classic (dostępny pod adresem: www.free-av.com, środowiska: Windows 2000/XP/Vista, rozmiar pliku: 17 MB).

Co komu wolno? Udostępnianie pod kontrolą

Udostępniasz pewne foldery, aby umożliwić wymianę danych między komputerami w sieci. W Windows XP klikasz ikonę folderu prawym przyciskiem myszy, wybierasz polecenie Udostępnianie i zabezpieczenia, a następnie zaznaczasz opcję Udostępnij ten folder. Gdy wpiszesz dowolną nazwę w pole Nazwa udziału i potwierdzisz kliknięciem OK, folder pojawi się w oknie Moje miejsca sieciowe wszystkich pecetów w sieci.

Chcąc zapewnić większe bezpieczeństwo udostępnianym zasobom, możesz ograniczyć dostęp do tego folderu. Kliknij go ponownie prawym przyciskiem myszy. W Windows XP Home Edition możesz wybrać wyłącznie typ dozwolonych operacji - tylko odczyt lub odczyt i zapis. Indywidualne uprawnienia dostępu można wydawać jedynie w XP Professional. Wskaż polecenie Właściwości, przejdź na kartę Udostępnianie i kliknij przycisk Uprawnienia. Wybierz użytkowników, którym pozwalasz korzystać z udostępnianych zasobów. W dolnej części okna ustawisz rodzaj dopuszczalnych operacji dla każdego użytkownika - np. Pełna kontrola lub Odczyt.

Nie zwracać uwagi - niewidoczne foldery

Jeśli nie chcesz, aby niepożądani użytkownicy sieci widzieli, że udostępniasz jakieś zasoby, umieść znak dolara ($) na końcu nazwy udziału. Wówczas folder nie będzie widoczny w oknie Moje miejsca sieciowe. Tymczasem użytkownik, który wie o jego istnieniu, będzie mógł z niego korzystać, wpisując w oknie Eksploratora:

\\<nazwa_komputera>\<nazwa_udziału$>

Zacieranie śladów

Przeglądarki internetowe bardzo pilnie zbierają informacje o preferencjach korzystających z nich internautów. Notują na przykład adresy odwiedzanych witryn. Powinieneś regularnie opróżniać bufor ze zdradliwymi zapiskami, jeśli nie jesteś jedynym użytkownikiem komputera. W Internet Explorerze 7 kliknij w tym celu Narzędzia | Usuń historię przeglądania. Teraz klikaj kolejno przyciski Usuń pliki, Usuń pliki cookie, Usuń historię, Usuń formularze i Usuń hasła. Alternatywnie pozbędziesz się tych wszystkich elementów za jednym zamachem, klikając przycisk Usuń wszystko. W Firefoksie kliknij Narzędzia | Opcje | Prywatność | Wyczyść teraz.

Wymiana danych przez Internet

Jeśli wymieniasz się informacjami ze znajomymi na całym świecie, możesz nawiązywać z nimi tak bezpieczne połączenia, jak w obrębie swojej lokalnej sieci. Skorzystaj z technologii VPN (Virtual Private Network). Weryfikuje tożsamość użytkownika w Internecie i zapewnia szyfrowanie połączeń. Prosty w obsłudze, a zarazem bezpłatny program do nawiązywania połączeń VPN to LogMeIn Hamachi (dostępny pod adresem: www.hamachi.cc/download/list.php, rozmiar pliku: 977 KB).